作者:K&XWS@知道創宇404高級威脅情報團隊
英文版:http://www.bjnorthway.com/3012/
1. 概述
APT37疑似為半島國家資助的攻擊組織,也稱為ScarCruft、Reaper、RedEye、Ricochet Chollima。該組織自2012年活躍至今,攻擊目標主要是韓國的公共組織和私有企業。2017年,APT37組織將攻擊目標范圍擴大到日本、越南、中東等地的化學、電子、制造業、航空工業、汽車和醫療等行業。
近期,知道創宇404 高級威脅情報團隊在日常分析活動中發現多個CHM攜帶惡意腳本的攻擊樣本,通過對整個攻擊鏈的分析和溯源,知道創宇404 高級威脅情報團隊將新發現的木馬命名為Fakecheck。在分析過程中,我們發現有安全研究人員將其歸屬于APT37,但從我們團隊跟蹤APT37的攻擊活動來看,此次捕獲的樣本及TTP與已掌握的APT37情報無關聯,極可能是APT37使用的全新TTPS及木馬或者是一個新的攻擊組織的活動。
2. 攻擊樣本分析
惡意CHM 樣例如下,CHM誘餌使用韓語,針對韓國進行攻擊,主題主要為保險、證券金融以及通訊賬單相關:
CHM中利用惡意腳本反編譯自身,并將反編譯結果釋放到指定目錄下,最終執行反編譯釋放的jse腳本,完整攻擊鏈如下:
CHM分析
查看CHM文件可以發現其中包含jse腳本:
攻擊者在CHM對應的html文件中插入了惡意腳本,將object插入到innerHTML元素中,并進行字符串拼接,最終使用shortcut和click使代碼得到執行:
執行的操作主要包含兩個:
1:反編譯CHM,并將文件釋放到C:\Users\Public\Libraries\目錄下。
2:執行反編譯后的Docs.jse。
Docs.jse是編碼過的javascript腳本,使用微軟自定義編碼方法進行編碼,解碼后代碼如下:
Docs.jse使用一個解碼函數對腳本中的字符串進行了解碼,解碼算法類似變種的凱撒密碼,對大小寫字母、數字和特殊字符進行了替換:
運行后從指定的服務端下載數據并存儲為:%temp%\alg.exe,需要注意的是服務端返回的數據前兩位會被替換為“MZ”:
當服務端返回的數據首位16進制值小于77(0x4D,字符“M”)時,函數modifyApp的返回值為true。由于上一步運行jse腳本是傳入了參數“P”,則paramLen > 0恒成立:
當兩個條件都成立的時候,則將scPath寫入scReg注冊表中,然而腳本代碼中scPath對應的文件在整個攻擊鏈條中未見釋放,scReg變量在腳本中未定義。換言之,如果返回的數據首位16進制值小于0x4d,則腳本將因觸發異常而結束,導致最終載荷無法執行。
在分析過程中,我們注意到韓國安全公司Ahnlab在7月份的一份公開報告中披露過與我們捕獲的樣本比較類似的攻擊活動,在披露的攻擊活動中,攻擊者使用的CHM中的腳本內容一致:
而在jse腳本上,Ahnlab披露的腳本會將jse寫入到注冊表的run啟動項中,因此我們推測攻擊者想通過scReg與scPath實現將當前jse寫入注冊表run啟動項的操作:
本次捕獲的jse腳本功能上較AhnLab披露的有所升級。其一,在字符串解碼函數添加了關于數字的編碼:
其二,增加了殺軟檢測,檢測當前主機中是否存在AhnLab相關的文件夾(AhnLab是韓國知名的殺軟),若存在殺軟,則將下載的alg.exe寫入注冊表run啟動項:
對比最初披露時直接使用run執行,本次捕獲的樣本新增了條件判斷,結合兩次攻擊樣本,我們推測攻擊者可能在進行測試,這樣也可以解釋為何會出現變量未定義之類的錯誤。
FakeCheck分析
為方便后續的溯源跟蹤,知道創宇404 高級威脅情報團隊將最終執行遠程控制的RAT木馬命名為FakeCheck,以下是FakeCheck的分析詳情:
該木馬為.NET程序,運行后使用CheckDotNetVersionAcceptable方法進行“環境檢查”,若CheckDotNetVersionAcceptable返回false則彈出消息框提示“Please reinstall .net 3.5 first!”,事實上這是攻擊者編寫了一個幌子(這也是為何將其命名為FakeCheck的原因),通過隨機運算得到一個值與傳入的隨機值進行比較,通過評估,只有極小的幾率返回false。
FakeCheck獲取磁盤信息,獲取指定目錄下的文件信息,并將獲取的信息寫入文件:
被寫入的文件為C:\Users\Public\Pictures[random].txt,[random].zip存放瀏覽器數據以及Recent緩存:
獲取chrome、Edge瀏覽器的用戶數據(插件設置、歷史記錄、書簽和保存的密碼信息等),并添加到zip文件中:
獲取Recent文件緩存:
收集的數據均被記錄在C:\Users\Public\Pictures[random].txt和C:\Users\Public\Pictures[random].zip中,最終上傳到C&C端:
從C&C端接收數據,當接收的數據不包含“Fatal error”時,解析命令并執行:
獲取的指令以“|”進行分割,最終的指令為cmd命令行:
cmd命令的執行結果使用“POST”回傳到C&C:
3. 總結
本次捕獲的針對韓語國家的CHM攻擊樣本中,與7月份Ahnlab披露的攻擊樣本在代碼上有較大的關聯性。雖然攻擊者針對的主要群體未知,但是其使用的誘餌文檔包含了金融、保險和日常通訊的相關賬單,這樣的誘餌文檔具有廣泛的適用性,尤其是通訊賬單。
攻擊者在代碼層面的復雜度較低,但在逐步升級完善,就目前掌握的最終執行的載荷來看,攻擊者主要進行瀏覽器信息竊取、主機信息搜集和簡單的cmd命令執行,推測這可能只是攻擊者攻擊鏈中的前中階段,后續將繼續分發其它載荷。
在溯源過程中,我們注意到多個安全研究員將其歸屬于APT37,但從知道創宇404高級威脅團隊目前掌握的情報來看,判斷其與APT37目前使用的TTPs無直接關系,如僅從針對的地域和行業將其歸為APT37,缺乏足夠的證據支撐。而從利用CHM加載惡意代碼這種形式上來看,歸屬于kimsuky和APT37等多個組織均有可能,因此,我們無法直接將其歸屬為某個已知的組織。后續我們將持續的跟蹤類似的攻擊事件,發掘更多有價值的情報線索。
IOC
下載地址:
-
https://crilts.cfd/cdeeb
-
https://giath.xyz/maiqt
-
https://bajut.pro/jdkvr
-
https://oebil.lat/zyofl
C&C:
- https://tosals.ink/uEH5J.html
Hash:
-
f5e46e18facc6f8fde6658b96dcd379b82cc6ae2e676fb47f08cbeccd307b1b4
-
578689cb4b06c4d3f1850e4379c4b31f49170749c66b9576e1088f59fc891da2
-
2b2583019d83e657c219dd6510060f98ead8679e913d63c7f2ed5c52c0c2bb35
-
37feb1d71c6458f71b27dc1ba7cb4366ee30f9ae75b0322775fa70b8753eac27
-
a1f6ae788bf3f9ae17893f3b12d557f69b17fdb4f030ed5e5f66dbb6d2cc9d78
-
01e7405ddd5545ffb4a57040acc4b6f8b8a5cc328fa8172e1800a1cb49bdf15c
-
012063e0b7b4f7f3ce50574797112f95492772a9b75fc3d0934a91cc60faa240
Ref
本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.bjnorthway.com/3011/
暫無評論